アカウント名:
パスワード:
SNS流行ったときにVIP専用とか乱立していて考えたのはまさにそれなんですよね。E-MAILとパスワードがログインに使用されていてメールアドレスとパスワードの(入力ミスも含めて)リストがあれば・・・と。
その方式だと受け取り手に元の文字列をデコードできる仕組みが無いとダメでは?プラグイン単独では実装できないので利用範囲がOpenIDとさして変わらない気がします。
デフォルトでつかえるマスターパスワード機能ではダメですか?初回、充てられたパスでログインしてランダムな文字列のパスに変更。その文字列をブラウザに記憶させ、以後はマスターパスワードで一元管理。
#つい先日、自分にとって意味のある文字列とソルトをcryptに食わせる#perlスクリプトを書いてSNS等のパスワードを統一したので、#この話題はある意味タイムリー。
残念ながらスクリプトは公開されていませんが、ちょっとした bookmarklet でもできるみたいですよ。
パスワードは、そのウェブサービスのドメイン等と共通パスワードをパラメータにしてパスワードを自動生成して、さらにDOM Storageを使ってパスワードを入力するinput要素を記憶させて自動で入力する、というbookmarklet(未来永劫非公開)を使用しているので、自分すらパスワードを知らない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
どうやってパスワードを収集したんだろう (スコア:3, 興味深い)
Re:どうやってパスワードを収集したんだろう (スコア:1)
ブラウザが上手いこと隠蔽して、相手には平文パスワードが渡らないようにしてくれる規格とか出来たら嬉しいんだけど。 例えば、こんな感じに。
ブラウザに「漏洩防止パスフレーズ」を設定できるようにしておく。 ブラウザは、typeがpasswordなinputに対しては、submitをするときに送る内容を【『「ユーザがテキストボックスに入力した文字列」+「漏洩防止パスフレーズ」+「送り先ホスト名」』のハッシュ】に自動的に書き換えて送信。
・・・FireFoxのプラグインにあるよ、とか言われそうな気がするな。
Re:どうやってパスワードを収集したんだろう (スコア:1)
SNS流行ったときにVIP専用とか乱立していて考えたのは
まさにそれなんですよね。
E-MAILとパスワードがログインに使用されていて
メールアドレスとパスワードの(入力ミスも含めて)リストがあれば・・・と。
Re:どうやってパスワードを収集したんだろう (スコア:1)
その方式だと受け取り手に元の文字列をデコードできる仕組みが無いとダメでは?
プラグイン単独では実装できないので利用範囲がOpenIDとさして変わらない気がします。
デフォルトでつかえるマスターパスワード機能ではダメですか?
初回、充てられたパスでログインしてランダムな文字列のパスに変更。
その文字列をブラウザに記憶させ、以後はマスターパスワードで一元管理。
#つい先日、自分にとって意味のある文字列とソルトをcryptに食わせる
#perlスクリプトを書いてSNS等のパスワードを統一したので、
#この話題はある意味タイムリー。
Youthの半分はバファリンでできています。
Re:どうやってパスワードを収集したんだろう (スコア:1)
で、書き方が曖昧でした。最初から、暗号化された文字列をパスワードとしてユーザアカウント作っておいたら良いんじゃないか? という発想です。 受け取り手がデコード出来ない、他のことに流用できない、という所を徹底したいので。 要するに、「サイト毎にパスワードを変える」と言うところを手動で頑張るとどうやっても間違うので、ブラウザに自動でやらせようというだけですね。
例えば、A社サイト用のパスワードを「AAA」、B社サイト用のパスワードを「BBB」にしよう、と考えたとします。 このまま、AAA、BBBで登録すると、A社のサイトで「BBB」と入力する間違いを犯した際に、A社サイトの管理者に悪い奴が居たら「ああこいつ、どっかのサイトでBBBってパスワード使ってるんだな」とバレます。「同じメアドで登録してないか、有名サイトを順番に見ていこう」とかやられると、せっかく別々のパスワードを使ってるのが台無しになります。
そこで適当なハッシュ関数を使ってそれぞれのパスワードをhash(AAA)、hash(BBB)としておけば、入力ミスしても少なくとも平文の「BBB」はバレずに済みます。ただ、これだけだと、「サイト毎に違うパスワードを使ってる」のとなんら違いがないので、もう一工夫必要です。 パスワードを、hash(A社ホスト名 + AAA)、hash(B社ホスト名 + BBB)としてユーザ登録します。 そして、「x社ホスト名」を追加するのがユーザの手作業だと結局、同じミスに対して同じダメージになるので、ここをブラウザに任せて自動化します。 すると、パスワードを入れ間違えても、A社には「hash(A社のホスト名 + BBB)」という何の意味もない文字列が送られるだけになるので、 A社に悪い奴が居ても全くダメージは受けません。
ついでに、元コメに書いた、「漏洩防止パスフレーズ」は見直してみると意味ないですね。何となく無いとセキュアにならなさそうな気がしたんですが・・・どう考えて導入したか思い出せませんorz
Re: (スコア:0)
残念ながらスクリプトは公開されていませんが、ちょっとした bookmarklet でもできるみたいですよ。